El 4 de julio de 2023, la Subsecretaría de Tecnologías de la Información de la Jefatura de Gabinete de Ministros de la República Argentina dictó la Disposición 3/2023 mediante la cual se aprobó la Guía de notificación y gestión de incidentes de seguridad (en adelante, la "Guía") para organismos públicos.
La Guía se encuentra basada en documentos internacionales relacionados con la ciberseguridad establecidos por el Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés), la Organización Internacional de Estandarización (ISO), la Unión Internacional de Telecomunicaciones (ITU) y la Guía de mejores prácticas para la gestión de incidentes de la Agencia de la Unión Europea para la Ciberseguridad (ENISA). Proporciona pautas claras para la notificación y gestión de incidentes de ciberseguridad, así como recomendaciones basadas en las buenas prácticas internacionales.
La Guía regula los siguientes aspectos sobre los ciberataques:
- Taxonomía y clasificación de un incidente de ciberseguridad.
- Notificación de incidentes de ciberseguridad. (Esto será desde las 48 horas de tomado conocimiento de su ocurrencia o de su potencial ocurrencia.)
- Contenido de los reportes.
- Estados de un incidente.
- Gestión de un incidente de ciberseguridad.
- Buenas prácticas para la denuncia de incidentes de ciberseguridad.
- Evidencia digital.
El Estado argentino ha resaltado que es de suma importancia robustecer las herramientas, protocolos y marcos normativos vinculados con los incidentes de seguridad. De este modo, podrían darse respuestas ágiles y eficientes a los ciberataques. Así, se busca garantizar que los activos de información esenciales de los organismos públicos mantengan niveles de riesgo aceptables y funcionen de manera habitual.
En la actualidad, no hay obligación en la ley de notificar el incidente de seguridad. Sin embargo, en caso de haber un incidente, se tendrá que notificar con base en la Resolución 47/2018 y los principios generales de buena fe y prevención del daño del Código Civil y Comercial de la Nación.
De hecho, el Proyecto de Ley de Datos Personales elaborado por la AAIP impone la obligación de comunicar las violaciones de datos a la AAIP sin demoras indebidas y dentro de las 72 horas siguientes a tener conocimiento de que la violación es probable que suponga un riesgo para los derechos de los interesados. Los interesados también deben ser informados de la violación si es probable que resulte en un alto riesgo para sus derechos.